I certificati di convalida estesa sono più sicuri di quelli normali?

2

O sono solo un tentativo di indurti a pagare più soldi a una CA perché dice al tuo browser di mostrare la barra degli indirizzi in verde con il nome della tua organizzazione?

Inoltre, quali sono i dettagli tecnici dei certificati EV? Che cosa rende esattamente un certificato EV nei dettagli del certificato?

    
posta Phoenix Logan 19.06.2014 - 14:07
fonte

3 risposte

4

Il fatto che i certificati EV siano "più sicuri" è sicuramente il messaggio che la CA qualificata per l'EV sta tentando di affermare - questo è il modo in cui giustificano che i certificati EV abbiano prezzi più alti. È discutibile se i certificati EV migliorino davvero la situazione della sicurezza. Vedi ad esempio questa critica di Peter Gutmann (citata nella pagina di Wikipedia ):

The introduction ... of so-called high-assurance or extended validation (EV) certificates that allow CAs to charge more for them than standard ones, is simply a case of rounding up twice the usual number of suspects - presumably somebody’s going to be impressed by it, but the effect on phishing is minimal since it’s not fixing any problem that the phishers are exploiting. Indeed, cynics would say that this was exactly the problem that certificates and CAs were supposed to solve in the first place, and that “high-assurance” certificates are just a way of charging a second time for an existing service. A few years ago certificates still cost several hundred dollars, but now that the shifting baseline of certificate prices and quality has moved to the point where you can get them for $9.95 (or even for nothing at all) the big commercial CAs have had to reinvent themselves by defining a new standard and convincing the market to go back to the prices paid in the good old days.

This deja-vu-all-over-again approach can be seen by examining Verisign’s certificate practice statement (CPS), the document that governs its certificate issuance. The security requirements in the EV-certificate 2008 CPS are (except for minor differences in the legalese used to express them) practically identical to the requirements for Class 3 certificates listed in Verisign’s version 1.0 CPS from 1996. EV certificates simply roll back the clock to the approach that had already failed the first time it was tried in 1996, resetting the shifting baseline and charging 1996 prices as a side-effect. There have even been proposals for a kind of sliding window approach to certificate value in which, as the inevitable race to the bottom cheapens the effective value of established classes of certificates, they’re regarded as less and less effective by the software that uses them...

La teoria è che i certificati EV vengono rilasciati solo dopo una verifica più approfondita dell'identità del richiedente, quindi i certificati EV dovrebbero essere più sicuri nel seguente senso: è più difficile ottenere uno falso. D'altra parte, sembra che gli attaccanti esistenti non si preoccupino davvero di ottenere comunque certificati SSL falsi, quindi l'aumento della sicurezza è, in effetti, teorico.

In pratica, la necessità di un certificato EV (al contrario di un certificato non EV) per il tuo server non deriva da un reale bisogno di sicurezza, ma da una reale necessità di una barra verde. Si tratta di convincere i clienti che spendere i loro soldi sul tuo sito è "sicuro".

    
risposta data 19.06.2014 - 15:47
fonte
0

I certificati EV sono più sicuri di quelli normali , perché mentre i certificati ordinari sono convalidati rispetto all'elenco completo di < a href="https://en.wikipedia.org/wiki/Root_certificate"> certificati radice nel browser Web, i certificati di convalida estesa vengono verificati solo rispetto a un elenco più limitato di certificati autorizzati a firmare certificati EV .

Tuttavia, questo non funziona come previsto in tutti i browser. Nello specifico, mentre Chrome e Firefox lo implementano correttamente, Internet Explorer consente l'installazione di certificati che possono essere visualizzati come EV, anche se, in realtà, non lo sono.

    
risposta data 19.06.2014 - 14:22
fonte
0

Mentre l'utente2428118 è corretto, ci sono meno fornitori che forniscono certificati EV che in realtà non fanno alcuna differenza nella sicurezza.

La connessione viene crittografata ugualmente bene usando un certificato standard (assumendo la stessa dimensione della chiave, ecc.). La convalida estesa è lì per il livello di persone, non per la tecnologia. Fornisce agli utenti e alla gestione una calda sensazione di confusione. Alcune organizzazioni si preoccupano di ciò. Per la maggior parte lo sostengo solo su siti che prenderanno i dettagli della carta di credito.

Vedi la mia risposta sotto per maggiori dettagli.

C'è qualche motivo di sicurezza tecnica per non acquistare il certificato SSL più economico che riesci a trovare?

    
risposta data 19.06.2014 - 15:46
fonte